Я добавил
auth requisite pam_deny.so
в качестве первой строки каждого файла в /etc/pam.d/
(включая sshd
) , но SSH-соединения по-прежнему устанавливаются без проблем. Он находится в экземпляре Google Cloud Ubuntu по умолчанию, поэтому в нем настроена таинственная аутентификация. Как мне применить мою команду deny?
/ etc / ssh / sshd_config
содержат строку UsePAM yes
/ etc / ssh / sshd_config
отключены другие методы аутентификации:
IgnoreUserKnownHosts да
Игнорировать хосты да
Пароль Аутентификация нет
ChallengeResponseAuthentication нет
KerberosAuthentication нет
GSSAPIAАутентификация нет
UseLogin нет
/etc/nsswitch.conf
не имеет пользовательских passwd
записей:
passwd: compat
группа: compat
тень: совместимость
gshadow: файлы
хосты: файлы dns
сети: файлы
протоколы: файлы db
услуги: файлы базы данных
ethers: файлы базы данных
rpc: файлы базы данных
перезапущен sshd
служба
google
в имени journalctl -f
при входе в систему по SSH google_oslogin_control
показывает его статус как деактивирован
Я вхожу в систему, используя SSH-ключ проекта, настроенный в метаданных проекта Google Cloud . Экземпляр использует cloud-init
для настройки ключей SSH и т. Д., Но я не могу найти никаких намеков относительно того, что может быть настроено, чтобы переопределить механизм аутентификации PAM.
Любой намек на то, что может переопределить Мы будем очень признательны за механизм аутентификации PAM!
NB Смысл этого в том, чтобы в конечном итоге включить модуль PAM для двухфакторной аутентификации.
татгалзах тушаалыг PAM нэвтрэлт танилтыг тойрч гарах хоёр системд харгалзах хоёр тусдаа шалтгаанаар үл тоомсорлодог.
Хэрэглэгч тохируулагдсан тул sudo
ажиллаж байх үед үл тоомсорлодог. NOPASSWD
тугтай. Энэ туг нь
% google-sudoers ALL = (ALL: ALL) NOPASSWD: ALL гэсэн мөртэй /etc/sudoers.d
файлд идэвхжсэн болно.
бөгөөд миний хэрэглэгч google-sudoers
бүлэгт харьяалагддаг. гарын авлагад хэлсэнчлэн:
Анхдагч байдлаар, sudo нь командыг ажиллуулахаас өмнө хэрэглэгч өөрөө өөрийгөө баталгаажуулахыг шаарддаг. Энэ зан үйлийг NOPASSWD шошго ашиглан өөрчилж болно.
Тиймээс sudo
ашиглан нэвтрэлт танилтыг (PAM оруулан) бүхэлд нь тойрч гардаг.
SSH нийтийн түлхүүр тул SSH-р нэвтрэх үед үүнийг үл тоомсорлодог. нэвтрэлт танилт PAM-ийг тойрч гарах болно. Ubuntu 18.04 дээр man sshd_config
холболтоор ашигласан гарын авлагад
Хэрэв тийм гэж тохируулсан бол энэ нь PAM данс болон бүх нэвтрэлт танилтын горимын модуль боловсруулалтаас гадна ChallengeResponseAuthentication болон PasswordAuthentication ашиглан PAM нэвтрэлт танилтыг идэвхжүүлэх болно.
Тиймээс PAM нэвтрэлт танилт нь сорилтын хариу болон нууц үг гэсэн хоёр төрлийн баталгаажуулалттай ажилладаг. PAM нь нийтийн түлхүүрийг танихад ашиглагддаггүй.
Та / etc / sshd_config
-д AuthenticationMethods publickey, keyboard-interactive
нэмж, татгалзахыг шаардаж болно. Энэ нь хэрэглэгчээс хоёр аргыг ашиглан баталгаажуулахыг шаарддаг: эхний түлхүүрээр (үүнд PAM ашиглахгүй), дараа нь сорилтын хариу өгөх (PAM ашиглана).